|
30 июля, 2010 (пятница, 01:18) Защита персональных данных: пригодится ли нам британский опыт?
Стандарты важны в любой системе управления: в них определяются цели, которых необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.
Госкомитет Великобритании по стандартизации разработал первый в мире стандарт на систему управления персональными данными
Несмотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и персональных данных, который способна реализовать любая организация в любой стране мира, отсутствует и по сей день. Такое положение дел связано с наличием у многих государств собственных законов о защите персональных данных, значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне).
Государственный комитет Великобритании по стандартизации (BSI Group) был основан в 1901 году. Сегодня это ведущая независимая организация по предоставлению деловых услуг, разрабатывающая стандарты и реализующая решения на их основе в 140 странах мира.
Тем не менее вопрос защиты персональных данных является весьма актуальным во всем мире. BSI Group, вместо того чтобы сводить воедино требования законодательства различных государств, в стандарте BS 10012:2009 описала систему управления персональными данными (СУПД) – ряд основных процессов инфраструктуры безопасной обработки персональных данных в соответствии с британским законом о защите данных (Data Protection Act – DPA).
Получается, что этот стандарт описывает только систему управления и федеральному закону "О персональных данных" не соответствует? Попробуем разобраться.
Data Protection Act и 152-ФЗ
Data Protection Act ("Закон о защите данных") был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований директивы Европарламента и Совета Европы "О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных". Прародительницей этой директивы является конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных", изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят федеральный закон №152-ФЗ "О персональных данных".
Между DPA и 152-ФЗ можно найти определенное сходство. Так, например, DPA дает следующее определение понятию "персональные данные": "Персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных". Не смотря на то, что 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательству РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. "Контролер персональных данных" в DPA есть ни кто иной, как "оператор персональных данных" в российском законодательстве.
Согласно DPA, любая организация, обрабатывающая персональные данные, является оператором таких данных и должна регистрировать свою деятельность в уполномоченном органе, который, в свою очередь, контролирует исполнение организацией восьми принципов обработки личных данных (будут приведены далее). Статьей 5 закона 152 определены 5 принципов обработки таких сведений, хотя в тексте закона, так или иначе, присутствуют все 8 принципов DPA.
При этом DPA в принципе не содержит и не ссылается на какие-либо инфраструктурные или технические требования к обработке данных, реализовав которые, организация-контроллер обеспечила бы выполнение принципов обработки личных сведений. Именно поэтому каждый контроллер самостоятельно разрабатывал собственные нормативные документы, описывавшие требования к системе управления персональными данными. Приводило это к многочисленным "дырам" в системе безопасности, которые порождали серьезные утечки и, как следствие, судебные иски, разбирательства и штрафы.
Поэтому перед BSI Group стояла задача устранить разрыв в законодательстве Соединенного Королевства и предложить операторам персональных данных требования для построения эффективной системы управления ими, основанные на лучших практиках стандарта ISO 27001 и отвечающие нормам DPA.
Очевидно, британские эксперты по защите ПДн озабочены теми же вопросами, что и отечественные, а стандарт для РФ не совсем подходит, несмотря на сходство в законодательстве. Попробуем разобраться, как и в какой мере отечественные операторы персональных данных могут использовать для себя этот документ.
Мы связали 8 принципов DPA с требованиями стандарта BS 10012:2009 и закона 152-ФЗ. Результат приведен в таблице.
Как видно, требования документов вполне совместимы, и при некоторых оговорках стандарт BS 10012:2009, в принципе, может применяться и российскими операторами ПДн для реализации организационных мер по обработке персональных данных, создания СУПД и их последующей интеграции в имеющиеся СУИБ. Однако BS 10012:2009 не перекрывает всех требований законодательства РФ к организации процесса обработки личной информации и совсем не затрагивает техническую защиту персональных данных.
Недостатки стандарта
Выпуск стандарта BS10012, безусловно, является важным шагом на пути к международной стандартизации обработки персональных данных, но первая версия этого документа еще далека от совершенства и уж тем более не является панацеей. С этим мнением согласен и член комитета BSI, эксперт по защите личных данных Тоби Стивенс, который в своем блоге пишет: "Я сомневаюсь, что этот документ получит широкую поддержку и уж тем более будет массово внедряться в организациях. Любой стандарт должен пройти путь от создания до созревания – и для этого данный документ должен был быть издан. Аналогичная ситуация была и со стандартом BS7799, который впоследствии стал ISO 27001: первая его версия вызвала много критики и нареканий, и широкое принятие и распространение этот стандарт получил лишь после нескольких итераций".
Самый главный недостаток примененного в BS 10012 подхода заключается в том, что стандарт не предусматривает процедуру оценки применимости требований на основе анализа рисков, и поэтому его требования являются жестко регламентирующими. Смысл пункта 4.4 стандарта "Оценка рисков" сводится лишь к наличию этой процедуры у организации в принципе, и результаты анализа рисков фактически не оказывают никакого влияния на требования, предъявляемые к СУПД. Тоби Стивенс также отмечает этот недостаток и пишет следующее: "Мы, вероятно, будем получать очень много жалоб на то, что в стандарте не применяются методы оценки воздействия на частную жизнь и вообще какая-либо оценка рисков в принципе, и в результате требования стандарта являются завышенными и трудно реализуемыми для большинства организаций. В следующие версии стандарта обязательно должны быть включены процедуры оценки рисков, а требования должны быть пропорциональными рискам и масштабируемыми для организаций любого уровня".
С этим мнением трудно не согласиться, тем более что аналогичные недостатки свойственны и всей российской нормативно-правовой базе в области защиты персональных данных.
Что ж, остается ждать, надеяться и верить в то, что со временем появится новый документ, и может быть тогда отечественные законодатели и регуляторы увидят здравый смысл предложенного BSI подхода к построению систем управления информационной безопасностью вообще и систем управления персональными данными в частности. Пока же применение российскими операторами личных сведений стандарта BS 10012 в полной мере как самостоятельного документа не имеет смысла.
Алексей Волков, Евгений Царев
Источник: CnewsАвтор: PRAXIS |
|
|
|